Почитал тут аналогичный топик, но тот рецепт, увы, не подошел. Поэтому - прошу помощи. Сутки уже борюсь с этим Wigon.AX
Попутно вопрос - а чем он опасен? Что он мне мог успеть сделать за эти сутки?
Файлы приложил.
Опять Wigon.AX
Почитал тут аналогичный топик, но тот рецепт, увы, не подошел. Поэтому - прошу помощи. Сутки уже борюсь с этим Wigon.AX
Попутно вопрос - а чем он опасен? Что он мне мог успеть сделать за эти сутки?
Файлы приложил.
Последний раз редактировалось technos; 05.03.2008 в 14:09.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('c:\temp1\bn7.tmp',''); QuarantineFile('C:\WINDOWS\system32\j1wCik64.exe',''); DeleteFile('C:\WINDOWS\system32\mshaaha.dll'); DeleteFile('C:\WINDOWS\system32\j1wCik64.exe'); DeleteFile('c:\temp1\bn7.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_ImportALL; BC_DeleteFile('C:\WINDOWS\System32\Drivers\Lvf28.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Awo84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Bva23.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Jhl62.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Nvn51.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ord63.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Sor64.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tib30.sys'); BC_DeleteFile('C:\WINDOWS\system32\windbg48.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xxh06.sys'); BC_DeleteSvc('Xxh06'); BC_DeleteSvc('windbg48'); BC_DeleteSvc('Tib30'); BC_DeleteSvc('Sor64'); BC_DeleteSvc('Ord63'); BC_DeleteSvc('Nvn51'); BC_DeleteSvc('Jhl62'); BC_DeleteSvc('Bva23'); BC_DeleteSvc('Awo84'); BC_DeleteSvc('Lvf28'); SetServiceStart('Schedule', 4); BC_Activate; ExecuteSysClean; RebootWindows(true); end.Загрузите карантин согласно приложению №3 правил.Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\mshaaha.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Все сделал.
Вот только после выполнения скрипта в AVZ в HijackThis не нашел строчки:
Хотя точно помню, что она была в первом протоколе. Я еще на эту библиотеку mshaaha.dll косо смотрел.Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\mshaaha.dll
Карантин загрузил
Внешние проявления проблемы исчезли - редактор реестра открывается, менеджер задач тоже.
Ниже прикладываю свежие логи.
Так уточните, пожалуйста - каково действие этого трояна? Чем это мне грозило в тот период, пока он у меня был? Может стоит какие-то пароли поменять? Хотя я старался в этот период никуда не входить по паролю, но проверку почты по SMTP делал и т.п....
Последний раз редактировалось technos; 05.03.2008 в 14:09.
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Lse30\0000', 'CSConfigFlags', '1'); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); BC_DeleteSvc('Lse30'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Скрипт выполнил. Карантин загрузил. Новые логи приложил. Спасибо, что помогаете.
Добавлено через 2 минуты
Чего то логи не приложились. Пробую еще раз.
Добавлено через 1 минуту
А логи то так и не приложились... Это у меня что-то глючит?
Последний раз редактировалось technos; 05.03.2008 в 13:58. Причина: Добавлено
зайдите управление вложениями и удалите старые логи ...
О, теперь получилось. Приложил.
Удалите все задания в планировщике задач.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
Повторите лог virusinfo_syscheck.zip
Очистил задания в планировщике. Провел восстановление Windows.
Новый лог приложил.
В логе всё нормально. Есть какие-нибудь проблемы?
Визуальных проблем нет. Спасибо.
Так а как, все же, проявляется действие этого трояна? Пароли, ключи крадет? Или это просто Adware?
Не знаю. От греха подальше пароли лучше поменять.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\userinit.exe - Worm.Win32.Gadja.f (DrWEB: Trojan.DownLoader.49226)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.kif (DrWEB: Trojan.DownLoader.50037)
Уважаемый(ая) technos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
